Windows 2000 - Admin Rechte zerschossen

7H3 N4C3R

Lt. Commander
Dabei seit
Feb. 2002
Beiträge
1.816
Hi,

mir ist heute ein ziemlich blödes Missgeschick passiert. Also bitte nicht lachen (das habe ich selbst schon :p ).

Ich habe einen Windows 2000 Server (nicht als Domänencontroller und es gibt auch keine anderen Domänen) eingerichtet mit Apache+Subversion. Nun habe ich letzteren Diensten eingeschränkte Gruppen und Accounts verpasst und diesen die lokale Anmeldung verboten. Anscheinend habe ich mich nun verguckt oder verklickt oder irgendeine Abhängigkeit schlägt hinterrücks zu, die ich übersehen habe.

Auf jeden Fall darf sich der Administrator nicht mehr an dem System anmelden. Ich bekomme die Meldung, dass die interaktive Anmeldung für diesen Benutzer durch die lokale Richtlinie deaktiviert ist.

Nun ja... es läuft zwar im Prinzip alles, aber ich brauche den Admin dann doch noch hin und wieder. *g* Ich habe also versucht mit der Wiederherstellungskonsole etwas zu erreichen. Allerdings ist die sooo eingeschränkt, dass ich nicht mal an die ntuser.pol für alle Benutzer komme (ich hoffe doch mal, dass das diejenige welche ist, die ich bearbeiten muss). Anscheinend kann ich nur innerhalb des WINNT Verzeichnisses zugreifen. :(


Hat also jemand einen Lösungsweg, wie ich das wieder hergestellt bekomme? :) Eine Neuinstallation wollte ich so gut es geht vermeiden, da doch schon einige Zeit in diesen Rechner geflossen ist.

Grüße
 

davidbaumann

Commodore
Dabei seit
Aug. 2004
Beiträge
4.864
Also wenn dir im Endeffekt nur die Schreibrechte auf bestimmte Dateien fehlen starte den PC mal mit Knoppix, und lade dann ntfs-captive runter, damit kannste NTFS mit vollen Rechten beschreiben/lesen usw.
David
 

7H3 N4C3R

Lt. Commander
Ersteller dieses Themas
Dabei seit
Feb. 2002
Beiträge
1.816
Nein, es fehlen keine Rechte selbst. Die Wiederherstellungskonsole scheint grundsätzlich nur auf das WINNT Verzeichnis selbst beschränkt zu sein.

Die radikalste Kur wäre natürlich wohl, mit Knoppix die ntuser.pol wegzulöschen. Allerdings frage ich mich, ob das System danach noch bootet. :)

Im Prinzip würde es mir reichen, wenn ich irgendwie von außen die lokale Sicherheitsrichtlinie so bearbeiten kann, dass der Admin sich wieder anmelden darf. Hmmm.
 

olwin

Lt. Junior Grade
Dabei seit
Okt. 2005
Beiträge
303
Dieser link sollte helfen:
http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_Standalone_ohne_AD.htm
Zitat:
a) als ntuser.pol im aktuellen Profilverzeichnis des Vorlagen-Users ( i.d.R. unter \Dokumente und Einstellungen\ %username% )
b) als registry.pol unter %systemroot%\system32\GroupPolicy\User, bzw. unter %systemroot%\system32\GroupPolicy\Machine, wenn die Änderungen den PC betreffen

4. Die letztgenannten registry.pol Dateien müssen gelöscht oder umbenannt werden, oder dem Administrator per NTFS Berechtigungen das Leserecht verweigert werden. Ansonsten importiert der Administrator automatisch die Einstellungen aus diesem Verzeichnis in seine eigene ntuser.dat. Achtung: Es reicht nicht die gültige ntuser.pol des Vorlagen- Benutzers in ein Profilverzeichnis eines anderen Benutzers zu kopieren, um auch diesem User die Einschränkungen mitzugeben. Eine Möglichkeit einem neuen Benutzer die Policies mitzugeben ist natürlich die Kopie des Benutzerprofils per System -> Benutzerprofile kopieren (Rechte bedenken). Da ja die Registry - Einträge mitgegeben werden.
 

-eraz-

Commodore
Dabei seit
Juni 2004
Beiträge
4.270
Zitat von 7H3 N4C3R:
Die radikalste Kur wäre natürlich wohl, mit Knoppix die ntuser.pol wegzulöschen. Allerdings frage ich mich, ob das System danach noch bootet. :)
Ja Windows würde ganz normal Booten, aber sie würde sofort wieder angelegt werden deshalb bringt dir das nichts. Was du machen musst ist folgendes, besorg dir ein Knoppix oder ähnliches mit dem du die Datei Editieren kannst. Dann machst du die Datei auf, löscht den gesamten Inhalt und speicherst sie, die Datei muss nach wie vor vorhanden bleiben. Dann verweigerst du jedem den Lese- und Schreibzugriff (besonders dem Systemkonto!). Dann normal wieder Booten und diesmal die Richtlinien richtig einstellen. ;)
 

7H3 N4C3R

Lt. Commander
Ersteller dieses Themas
Dabei seit
Feb. 2002
Beiträge
1.816
Dankeschön! :) Das werde morgen früh dann mal ausprobieren. Eine Erfolgsrückmeldung kommt dann noch.


Update:
Leider haben die Schritte nichts gebracht. :( Ich habe den Rechner mit BartPE gebootet und die Änderungen vorgenommen, aber der Administrator hat immernoch nicht die Rechte, um sich lokal anzumelden. Naja, bevor ich jetzt noch mehr Zeit und Nerven investiere, werde ich den Rechner wohl lieber neu aufsetzen und vor Änderung der Richtlinien ein Voll-Backup machen. Hinterher ist man immer schlauer.... :)
 
Zuletzt bearbeitet:
Top